Se descubrió una nueva campaña global dirigida a compañías nucleares, de defensa, de energía y financieras.
La campaña llamada “Operation Sharpshooter”, se instala a nivel de memoria y ordena una segunda ejecución, llamada “Rising Sun”, el cual utiliza el código fuente del troyano “DUUZER”, diseñado para abrir una puerta trasera en el sistema operativo, a través de la cual los atacantes pueden recopilar información del sistema, crear, listar, eliminar procesos, acceder, modificar, borrar archivos y ejecutar comandos.
Rising Sun, apareció en 87 organizaciones en todo el mundo en Octubre y Noviembre del 2018. Se cree que la intención es recopilar información sobre individuos de interés específicos, que administran datos relacionados con las industrias de interés, como son las relacionadas con la defensa y gobierno.
La forma de ataque, es por medio de un documento de Microsoft Word versión coreana, que tienen el nombre del autor del archivo “RICHARD”, con sus metadatos en coreano. Los documentos detectados, tienen títulos de descripción de trabajo, para empresas desconocidas, distribuidas por una dirección IP en Estados Unidos, utilizando Dropbox.
Este archivo Word, contiene una macro maliciosa que utiliza una Shellcode incorporada, para inyectar el sharpshooter en la memoria, el que tiene por misión descargar el segundo malware que se encuentra alojado en hxxps://www.kingkoil.com.sg/query.php. En la siguiente etapa, la descarga es guardada en la carpeta de inicio como, %Startup%\mssync.exe, con ello asegurar la persistencia en el sistema operativo.
Si bien existen numerosos vínculos técnicos con el “grupo Lazarus”, aún no se ha comprobado su responsabilidad de los ataques.
RECOMENDACIONES
Se sugiere el bloqueo de los siguientes Indicadores de compromiso.
HASHES.
- 8106a30bd35526bded384627d8eebce15da35d17
- 66776c50bcc79bbcecdbe99960e6ee39c8a31181
- 668b0df94c6d12ae86711ce24ce79dbe0ee2d463
- 9b0f22e129c73ce4c21be4122182f6dcbc351c95
- 31e79093d452426247a56ca0eff860b0ecc86009
SERVIDORES DE CONTROL.
- 34.214.99.20/view_style.php
- 137.74.41.56/board.php
- kingkoil.com.sg/board.php
URLS DE DOCUMENTOS.
- hxxp: //208.117.44.112/document/Strategic Planning Manager.doc
- hxxp: //208.117.44.112/document/Business Intelligence Administrator.doc
- hxxp://www.dropbox.com/s/2shp23ogs113hnd/CustomerServiceRepresentative.doc? dl = 1
REFERENCIAS